Your SlideShare is downloading. ×
0
Le bon, la brute et le truand                     dans les nuages               (ou comment percevoir la sécurité dans le ...
Consultant Sécurité Sénior au                                                 Twitter :@SPoint  sein du cabinet d’audit  O...
Agenda Introduction Révolution ou mirage ? Différents modèles, différents risques Différents modèles, différentes solu...
Les hackers sont astucieux                             © 2011 - S.Gioria
Vainqueurs a la CVE 2010     Produit               1er              2ème               3ème     Système               Linu...
Soyons donc précis !                       © 2011 - S.Gioria
Révolution ?               © 2011 - S.Gioria
http://www.cloudsecurityalliance.org/guidance.html  Mirage ?Type   Infrastructure as a Service (IaaS)   Platform as a Se...
Modèles Cloud Privé :   Dédié à une entreprise Cloud partagé   Mutualisé pour une communauté Cloud Public   Grand pu...
Les acteurs ?   Les mastodontes* :       Google          §  27/02/2011 : Google Mail perd des mails…..       Amazon   ...
© 2011 - S.Gioria
L’entreprise a le contrôle    Qui contrôle quoi ?                                      Partage du contrôle avec le fournis...
Perte de la maitrise…. Sur le matériel….   Constemment externalisé Sur le logiciel   Quelle confiance ai-je sur le mod...
Risque sur les données Perte du contrôle sur les données   L’administrateur a les « clefs » d’accès   Comment sont effa...
Risques techniques sur la virtualisation Problèmes d’isolation des Machines virtuelles :   Les pilules et autres médicae...
Gestion des données sensibles Les interfaces d’administration contiennent des données sensibles….   Les mots de passes s...
Et la réversibilité ? Problèmes de disponibilité Forte dépendance Pas de normes d’interopérabilité sur les Clouds ….   ...
© 2011 - S.Gioria
Les 13 domaines de travaux du CloudLa Cloud Security Alliance définit 13 domaines :I.  Architecture   1.  Cadre d’architec...
Les 13 domaines de travaux du CloudIII. Opérations   7.     Sécurité, continuité, reprise d’activité   8.     Opérations d...
PRÉCAUTIONS POUR LEDÉVELOPPEMENTOu comment sécuriser le SaaS….                                 © 2011 - S.Gioria
Le problème Confidentialité   Protéger les données, les systèmes, les processus   d’un accès non autorisé Intégrité   ...
Le problème Traçabilité   Assurer le cheminement de toute donnée, processus   et la reconstruction des transactions « P...
La menace Les gouvernements ? Le concurrent La mafia                              Capacité Le chômeur…                ...
Défense en profondeur                        © 2011 - S.Gioria
Pourquoi est-ce un problème global ?                                 © 2011 - S.Gioria
Le Mercenaire des menaces(*) 10/03/2011 – 9h45                                          © 2011 - S.Gioria        * Un burg...
Chuck Norris OWASP ASVS à la rescousse   Quelles sont les fonctionnalités à mettre en oeuvre dans les    contrôles de séc...
Principes de développement     KISS : Keep it Short and Simple 8 étapes clés :   Validation des entrées   Validation de...
KISS : Keep it Short and Simple Suivre constamment les règles précédentes Ne pas « tenter » de mettre en place des parad...
Parfois il faut faire sa pub ;)      10/03/2011 – 13h30                                  © 2011 - S.Gioria
Cet homme peut vous aider(*)    10/02/2011 : 14h45* : je suis d’accord on dirait pas J sur cette photo                   ...
Mettre en place les Tests Qualité Ne pas parler de tests sécurité ! Définir des fiches tests simples, basées  sur le Top...
De la littérature                    © 2011 - S.Gioria
De la littérature ENISA :   Benefits, risks and recommendations for information   security (11/2009) NIST :   SP800-14...
Conclusion ?  © Flickr – Mathieu aubry                             © 2011 - S.Gioria
Remerciements Pascal Saulière (@psauliere) AF (@starbuck3000) Les deux Arthur(s)                                 © 2011...
Upcoming SlideShare
Loading in...5
×

Le bon, la brute et le truand dans les nuages

1,478

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,478
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
40
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Le bon, la brute et le truand dans les nuages"

  1. 1. Le bon, la brute et le truand dans les nuages (ou comment percevoir la sécurité dans le Cloud) CONFOO – Montréal Québec - Canada 9 Mars 2011Sébastien Gioria (French Chapter Leader & OWASP GlobalEducation Committee Member)sebastien.gioria@owasp.org Copyright © 2009 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation © 2011 - S.Gioria http://www.owasp.org
  2. 2. Consultant Sécurité Sénior au Twitter :@SPoint sein du cabinet d’audit OWASP France Leader - Evangéliste - OWASP Global Education Comittee Member (sebastien.gioria@owasp.org) CISA && ISO 27005 Risk Manager q  Expérience en Sécurité des Systèmes d’Information > 0x0D années q  Différents postes de manager SSI dans la banque, l’assurance et les télécoms q  Expertise Technique ü  Gestion du risque, Architectures fonctionnelles, Audits ü  S-SDLC : Secure-Software Development LifeCycle. ü  PenTesting, Digital Forensics ü  Consulting et Formation en Réseaux et Sécurité q Domaines de prédilection : ü  Web, WebServices, Insécurité du Web. © 2011 - S.Gioria
  3. 3. Agenda Introduction Révolution ou mirage ? Différents modèles, différents risques Différents modèles, différentes solutions Un peu de littérature Et après ? © 2011 - S.Gioria
  4. 4. Les hackers sont astucieux © 2011 - S.Gioria
  5. 5. Vainqueurs a la CVE 2010 Produit 1er 2ème 3ème Système Linux Kernel Windows Server Apple IOS (35) d’exploitation (129) 2008 (93) SGBD Oracle (36) Mysql (3) MS-SQL Server (1) Navigateur Chrome (164) Safari (130) Firefox (115) Clouds ? / VmWare Xen (24) Hyper-V(2) – Virtualisation (125) Azure (1) •  Il n’y a pas un meilleur editeur/constructeur…. •  Sinon on ne serait pas aux aguets tous les 2èmes mardi du mois. •  Sinon les bulletins du CERT seraient vides… •  Et surtout Oracle ne mentirait pas sur son surnom*… •  Le Cloud est compliqué…..*:unbreakable => dernier Patch Update 10/10 à la CVSS (encore une fois)… © 2011 - S.Gioria
  6. 6. Soyons donc précis ! © 2011 - S.Gioria
  7. 7. Révolution ? © 2011 - S.Gioria
  8. 8. http://www.cloudsecurityalliance.org/guidance.html Mirage ?Type  Infrastructure as a Service (IaaS)  Platform as a Service (PaaS).  Software as a Service (SaaS).  Beer as a Service (BaaS) * ? * Guinness for me please…. © 2011 - S.Gioria
  9. 9. Modèles Cloud Privé :  Dédié à une entreprise Cloud partagé  Mutualisé pour une communauté Cloud Public  Grand public, Cloud Hybride  Composé d’un ou plusieurs cloud précédent. © 2011 - S.Gioria
  10. 10. Les acteurs ?  Les mastodontes* :  Google §  27/02/2011 : Google Mail perd des mails…..  Amazon §  09/2009: L’isolation dans le Cloud EC2 d’Amazon a des fuites…. §  01/2011: Using Amazon Cloud to crack WPA keys (**)  Microsoft Azure : §  … *Et non pas les éléPHPants** http://www.reuters.com/article/2011/01/07/us-amazon-hacking-idUSTRE70641M20110107 © 2011 - S.Gioria
  11. 11. © 2011 - S.Gioria
  12. 12. L’entreprise a le contrôle Qui contrôle quoi ? Partage du contrôle avec le fournisseur Le fournisseur de cloud a le contrôle Interne Hébergeur IaaS public PaaS public SaaS public Données Données Données Données Données Applications Applications Applications Applications Applications Machine Machine Machine Machine Machine Virtuelle Virtuelle Virtuelle Virtuelle Virtuelle Serveur Serveur Serveur Serveur Serveur Stockage Stockage Stockage Stockage Stockage Réseau Réseau Réseau Réseau RéseauBurton Group : Cloud Computing Security in the Enterprise – Jul. 2009 © 2011 - S.Gioria
  13. 13. Perte de la maitrise…. Sur le matériel….  Constemment externalisé Sur le logiciel  Quelle confiance ai-je sur le modèle déployé par le fournisseur ?  Quelle confiance ai-je dans le développement ? Sur le réseau….  Quelle est la réelle connectivité ? Sur l’organisation  Les choix matériels et/ou logiciels peuvent impacter les mesures de sécurité. © 2011 - S.Gioria
  14. 14. Risque sur les données Perte du contrôle sur les données  L’administrateur a les « clefs » d’accès  Comment sont effacées les données en cas de fin du contrat ?  Comment sont « sauvegardées »/ « archivées » les données ? © 2011 - S.Gioria
  15. 15. Risques techniques sur la virtualisation Problèmes d’isolation des Machines virtuelles :  Les pilules et autres médicaements de Johanna : §  http://invisiblethings.org/papers/Security%20Challanges %20in%20Virtualized%20Enviroments%20-%20RSA2008.pdf Partage des ressources :  Disques  RAM  Processeur  Réseau © 2011 - S.Gioria
  16. 16. Gestion des données sensibles Les interfaces d’administration contiennent des données sensibles….  Les mots de passes sont souvent les même en interns et en externe…. Les interfaces d’administration permettant d’effectuer de l’approvisionnement a la demande sont sensibles Les APIs du Cloud ne sont peut être pas « sécurisées »  Absence de clefs de chiffrement  Absence de token de transaction….. © 2011 - S.Gioria
  17. 17. Et la réversibilité ? Problèmes de disponibilité Forte dépendance Pas de normes d’interopérabilité sur les Clouds …. © 2011 - S.Gioria
  18. 18. © 2011 - S.Gioria
  19. 19. Les 13 domaines de travaux du CloudLa Cloud Security Alliance définit 13 domaines :I.  Architecture 1.  Cadre d’architecture du cloud ComputingII.  Gouvernance 2.  Gouvernance et gestion des risques 3.  Aspects juridiques liées aux données 4.  Conformité et audit 5.  Cycle de vie de l’information 6.  Portabilité et interopérabilité http://www.cloudsecurityalliance.org/guidance.html © 2011 - S.Gioria
  20. 20. Les 13 domaines de travaux du CloudIII. Opérations 7.  Sécurité, continuité, reprise d’activité 8.  Opérations du datacenter 9.  Gestion des incidents, notifications, remédiation 10.  Sécurité applicative 11.  Chiffrement et gestion des clés 12.  Gestion des identités et accès 13.  Virtualisation http://www.cloudsecurityalliance.org/guidance.html © 2011 - S.Gioria
  21. 21. PRÉCAUTIONS POUR LEDÉVELOPPEMENTOu comment sécuriser le SaaS…. © 2011 - S.Gioria
  22. 22. Le problème Confidentialité  Protéger les données, les systèmes, les processus d’un accès non autorisé Intégrité  Assurer que les données, systèmes et processus sont valides et n’ont pas été modifiés de manière non intentionnelle. Disponibilité  Assurer que les données, systèmes et processus sont accessible au moment voulu © 2011 - S.Gioria
  23. 23. Le problème Traçabilité  Assurer le cheminement de toute donnée, processus et la reconstruction des transactions « Privacy »  Assurer que les données personnelles sont sous le contrôle de leur propriétaire Conformité  Adhérer aux lois et réglementations Image de marque  Ne pas se retrouver à la une du journal « Le Monde » suite à un incident © 2011 - S.Gioria
  24. 24. La menace Les gouvernements ? Le concurrent La mafia Capacité Le chômeur… de L’étudiant protection Le « script kiddies » Mon fils de 3 ansMais…… Personne ne nous piratera » « © 2011 - S.Gioria
  25. 25. Défense en profondeur © 2011 - S.Gioria
  26. 26. Pourquoi est-ce un problème global ? © 2011 - S.Gioria
  27. 27. Le Mercenaire des menaces(*) 10/03/2011 – 9h45 © 2011 - S.Gioria * Un burger et vous l’achetez….
  28. 28. Chuck Norris OWASP ASVS à la rescousse   Quelles sont les fonctionnalités à mettre en oeuvre dans les contrôles de sécurité nécessaires à mon application Spécifications/Politique de sécurité des développements   Quelle est la couverture et le niveau de rigueur à mettre en oeuvre lors de la vérification de sécurité dune application.   Comment comparer les différentes vérifications de sécurité effectuées Aide à la revue de code   Quel niveau de confiance puis-je avoir dans une application Chapitre sécurité des contrats de développement ou des appels d’offres ! © 2011 - S.Gioria
  29. 29. Principes de développement KISS : Keep it Short and Simple 8 étapes clés :  Validation des entrées  Validation des sorties  Gestion des erreurs  Authentification ET Autorisation  Gestion des Sessions  Sécurisation des communications  Sécurisation du stockage  Accès Sécurisé aux ressources © 2011 - S.Gioria
  30. 30. KISS : Keep it Short and Simple Suivre constamment les règles précédentes Ne pas « tenter » de mettre en place des parades aux attaques Développer sécurisé ne veut pas dire prévenir la nouvelle vulnérabilité du jour Construire sa sécurité dans le code au fur et a mesure et ne pas s’en remettre aux éléments d’infrastructures ni au dernier moment. © 2011 - S.Gioria
  31. 31. Parfois il faut faire sa pub ;) 10/03/2011 – 13h30 © 2011 - S.Gioria
  32. 32. Cet homme peut vous aider(*) 10/02/2011 : 14h45* : je suis d’accord on dirait pas J sur cette photo © 2011 - S.Gioria
  33. 33. Mettre en place les Tests Qualité Ne pas parler de tests sécurité ! Définir des fiches tests simples, basées sur le Top10/TopX :  Tests d’attaques clients/image de marque (XSS)  Tests d’intégrité (SQL Injection, …)  Tests de conformité (SQL/LDAP/XML Injection)  Tests de configuration (SSL, interfaces d’administration) Ajouter des revues de code basées sur des checklists  SANS/Top25  OWASP ASVS  …. © 2011 - S.Gioria
  34. 34. De la littérature © 2011 - S.Gioria
  35. 35. De la littérature ENISA :  Benefits, risks and recommendations for information security (11/2009) NIST :  SP800-144 : Guidelines on Security and Privacy in Public Cloud Computing (01/2011) Cloud Security Alliance :  Top Threats to Cloud Computing V1.0 (03/2010)  Security Guidance for Critical Areas of Focus In Cloud Computing V2.1 (12/2009) © 2011 - S.Gioria
  36. 36. Conclusion ? © Flickr – Mathieu aubry © 2011 - S.Gioria
  37. 37. Remerciements Pascal Saulière (@psauliere) AF (@starbuck3000) Les deux Arthur(s) © 2011 - S.Gioria
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×